Omgaan met de risico’s van shadow IT

- Jeroen Langendam

In de shadow IT kunnen gevaren schuil gaan.

Shadow IT ontstaat doordat gebruikers oplossingen zoeken. De kans zelf apps te installeren levert gebruiksgemak, maar brengt risico’s met zich mee.

In de afgelopen jaren is, mede door actief BYOD-beleid, het aantal devices in de klas sterk toegenomen. Dankzij initiatieven als de Digisprong zal die trend binnenkort het eindstadium bereiken: elke leerling heeft een eigen laptop. Over de voordelen van digitalisering is al veel geschreven, maar IT-afdelingen zien ook uitdagingen. Als elke leerling een eigen laptop meekrijgt kunnen ze daar ook hun eigen software op installeren.

BYOD leidt tot shadow IT

De term shadow IT verwijst naar alle software (en hardware) die niet officieel is goedgekeurd. Dit betekent niet dat leerlingen er geen gebruik van mogen maken, maar dat deze technologie niet door de IT-afdeling wordt beheerd.

Dit paralelle IT-landschap ontstaat niet omdat leerlingen(of leerkrachten) kwaad in de zin hebben. Vaak gaat het om leerlingen die software installeren om iets gedaan te krijgen, zoals aan WhatsApp om te chatten, maar ook dingen die niet per sé nodig zijn: Instagram (zodat ze zich tijdens de les niet suf vervelen), of spelletjes. Of een docent zoekt een app om de les levendiger te maken en probeert hier en daar iets uit.

Hoewel bona fide, moet je er als IT-beheerder iets mee. Elke geïnstalleerde app kan gevolgen hebben voor de rest van de IT-infrastructuur.  Sommige IT-experts beweren zelfs dat shadow IT bij grote bedrijven verantwoordelijk is voor ruim de helft van alle IT-kosten! Voorkom problemen en handel pro-actief.

Er schuilen gevaren in de shadow IT

Gemak dient de mens. Al die handige apps brengen risico’s met zich mee. Sommige apps kunnen datalekken veroorzaken. Nog erger is dat sommige apps veiligheidslekken hebben waardoor alle cybersecurity inspanningen ondermijnd worden.

Wat kun je doen tegen de gevaren van shadowIT?

Je kunt er natuurlijk voor kiezen om gebruikers de mogelijkheid te ontnemen om software te installeren. Zonder shadow IT heb je geen last van de risico’s. Je mist echter ook wat gebruiksgemak. Er is een middenweg mogelijk.

Stel als school een bepaalde standaard vast waaraan applicaties moeten voldoen en formuleer beleid: welke chat-software is toegestaan, welke niet? Onder welke voorwaarden mag een leerling software installeren? Is alles wat in de app store te vinden is ok, of stel je extra eisen?

Verwoord deze keuzes op een manier die voor iedereen goed te begrijpen is en communiceer dit binnen de organisatie. Personeel, leerlingen én ouders/verzorgers dienen geïnformeerd te worden over wat toegestaan is.

Gebruik een Mobile Device Management (MDM) –tool om devices te beheren. Niet alleen zorg je hiermee dat alle devices voorzien zijn van de meest recente (security) updates, ook helpt een MDM bij het inventariseren van de geïnstalleerde software. Zo kun je eventuele risico’s vlot herkennen.

Denk na over het gebruik van een beveiligde cloud omgeving, zoals Citrix, om toegang tot de cloud te reguleren en dataveiligheid te borgen.

Denk aan de lange termijn

Omgaan met de schaduw IT is geen eenmalige handeling. Leerlingen zullen altijd blijven experimenteren met nieuwe software. Zorg daarom voor een langetermijn-plan. Daarmee zorg je voor de balans tussen gebruiksgemak en veiligheid.